商業銀行開展第三方支付業務面臨的風險及對策

陳晨

隨著我國電子商務市場的蓬勃發展，日趨繁榮的第三方支付業務為商業銀行帶來了新的發展機遇，也讓商業銀行面臨諸多新的風險問題。本文擬在厘清第三方支付業務相關法律關系及民事責任分配機制的基礎上，針對商業銀行關注的問題和面臨的挑戰，提出切實可行的應對措施。

法律地位

一般而言，第三方支付是由合法授權的機構所提供的，為實現用戶、商戶兩端線上資金轉移、支付結算而設立并提供的與銀行相關結算系統關聯的接口和通道服務，從而將商戶、客戶及結算銀行構建鏈接關系，實現資金安全交易結算的支持工具與功能載體。

現行法律和政策性文件對第三方支付的表述不完全一致。根據《非金融機構支付服務管理辦法》規定：“本辦法所稱非金融機構支付服務，是指非金融機構在收付款人之間作為中介機構提供下列部分或全部貨幣資金轉移服務：（1）網絡支付;（2）預付卡的發行與受理;（3）銀行卡收單;（4）中國人民銀行確定的其他支付服務。本辦法所稱網絡支付，是指依托公共網絡或專用網絡在收付款人之間轉移貨幣資金的行為，包括貨幣匯兌、互聯網支付、移動電話支付、固定電話支付、數字電視支付等。”中共中央正式發布《促進互聯網金融健康發展指導意見》，使用了“互聯網支付”一詞，用來指代“通過計算機、手機等設備，依托互聯網發起支付指令、轉移貨幣資金的服務。”根據《非銀行支付機構網絡支付業務管理辦法（征求意見稿）》的規定：“支付機構是指依法取得《支付業務許可證》，獲準辦理互聯網支付、移動電話支付、固定電話支付、數字電視支付等網絡支付業務的非銀行機構。網絡支付業務，是指客戶通過計算機、移動終端等電子設備，依托公共網絡信息系統遠程發起支付指令，且付款客戶電子設備不與收款客戶特定專屬設備交互，由支付機構為收付款客戶提供貨幣資金轉移服務的活動。”

第三方支付主要參與主體有四方：付款方（買方）、收款方（賣方）、商業銀行、第三方支付機構。第三方支付機構和銀行之間的法律關系是服務合作關系，主要體現在實際交易中的兩個階段。

第一階段，付款方進行在線資金劃撥，通過第三方支付的網關進入到銀行的網關中進行轉賬，付款方銀行確認銀行卡真偽、客戶預留信息以及轉賬金額，按指令將資金劃撥到第三方支付的虛擬賬戶中。在此階段，銀行在與第三方支付機構的合作中，主要承諾如下義務：確認付款方銀行卡真偽;按照付款方指令完成資金的劃撥。銀行的主要權利是，完成指令人發出的正確指令或者拒絕指令人發出的不符合規定程序的、無法執行的、無效的指令。

第二階段，在付款方通過第三方支付平臺發出確認收貨并支付貨款的指令后，第三方支付就會通知銀行將存放在其賬戶中的資金劃撥至收款方賬戶中。在此階段，銀行在與第三方支付平臺的合作中，主要承擔的義務是依照第三方支付的指令進行資金劃撥。

銀行與付款人存在信用卡或借記卡合同關系，對銀行來說，其負有按照付款人指令將存款支付給收款人或其指定的代理人、保障存款人資金安全等義務;對付款人來講，其負有妥善保管銀行卡信息及密碼的義務。兩者之間是傳統的金融服務合同關系，雖然因第三方支付機構的介入，兩者在客戶身份識別、客戶資金和信息安全等方面的義務增多，但是兩者的基礎法律關系仍然未發生變化。

面臨的風險

第三方支付機構主體資格及經營范圍風險。《非金融機構支付服務管理辦法》規定了非金融機構提供第三方支付服務的主體資格條件：“非金融機構提供第三方支付應當取得《支付業務許可證》，成為支付機構;支付機構須依法接受中國人民銀行的監督管理，未經中國人民銀行批準，任何非金融機構和個人不得從事或變相從事支付業務。”從事第三方支付除應當具有符合條件的主體資格外，經營范圍也有較高要求：“支付機構應當按照《支付業務許可證》核準的業務范圍從事經營活動，不得從事核準范圍之外的業務，不得將業務外包。支付機構的分公司從事支付業務的，支付機構及其分公司應當分別到所在地中國人民銀行分支機構備案。”根據以上要求，第三方支付機構開展經營活動必須經人民銀行審批，同時應該在核準經營的范圍內開展經營活動。

目前，經人民銀行審批合法經營的第三方支付機構共269家，主體資質良莠不齊，而商業銀行與第三方支付機構的合作正處在探索階段，雖然商業銀行總行在合作機構的遴選和資質考察方面較為審慎嚴格，但是部分分支機構為完成內部經營指標考核，在遴選合作機構過程中，更加注重合作的第三方機構能否為自身帶來更多的經營收益，合作的業務范圍能否最大化的創造利潤，因此在主體資格和業務經營范圍方面的考察失于嚴謹。同時，因商業銀行的分支機構相對獨立，總行對分支機構的合作情況缺乏統一管理，更無法做到對合作第三方支付機構的動態監管，但是當一家分支機構的合作第三方支付機構出現風險時，往往導致出現全行性聲譽風險。

第三方支付平臺交易安全風險可能波及銀行系統聲譽或安全。第三方支付機構與銀行各接口進行對接，集成網關，隔絕了商戶網絡、用戶網絡與銀行網上銀行之間的聯系，雖然第三方支付在技術上不斷取得突破，效率提升，安全保障功能也加強了，但是在第三方支付平臺中的交易模式中，無論是簽訂服務合約還是進行資金的委托保管都是置于虛擬的網絡環境中，而在交易過程中，因為第三方支付平臺系統漏洞或者是網絡釣魚、木馬病毒或黑客入侵導致的交易信息的泄露會極大的侵害交易者的財產安全權。消費者在自有資金受到損害時，通常認為保障資金安全是商業銀行而非第三方支付機構的責任，第一時間聯系銀行尋求保護，無法追償資金時，尋求多種手段向銀行追償，這種尋求救濟的思路之下，商業銀行極易產生被訴風險，若處理不當，更容易引發嚴重的聲譽風險。

消費者隱私信息泄露被利用攻擊銀行客戶賬戶。在第三方支付平臺代收代付消費者資金的過程中，為了保證交易的真實有效性，第三方支付機構往往需要消費者提供一系列的個人資料信息，同時也可以利用技術方法獲得更多他人的個人信息，如果這些留置于第三方支付平臺數據庫中的龐大個人信息群，一旦因為管理疏漏或者網絡的客觀風險泄露或擴散，被不法分子收集利用攻擊銀行客戶賬戶，不僅導致客戶財產及信息安全受到侵害，同時也使銀行的賬戶安全遭到侵害，加重銀行對客戶賬戶的安全管理義務。

商業銀行無法及時監測違法行為。由于第三方支付的主要目的是通過提供技術平臺，促進交易順利完成，對交易的目的、對象以及真實性并不刻意注重，因而極易導致違法犯罪行為的乘虛而入。在第三方支付中，通過一張信用卡、一個支付寶賬號和互相串通的買賣雙方，就可以將信用卡里的錢成功套現，而在交易中，商業銀行只是被動接收付款指令，而不能掌握交易信息，很難對交易背景的真實性做出判斷，一旦買賣雙方互相串通，信用卡套現將會變得十分容易。此外，第三方支付是伴隨網絡經濟的產物，網絡經濟除具有隱蔽性的特點外還具有匿名性，為洗錢犯罪提供了很大便利，商業銀行很難根據《反洗錢法》的要求履行建立客戶身份識別制度、客戶身份資料和交易記錄保存制度的義務，商業銀行面臨較大的反洗錢壓力。

應對措施

目前，無論是從法律規范還是監管要求方面，都對商業銀行提出了嚴格的責任，且隨著消費者的維權意識日益加強，在運用法律手段維護自身利益方面，往往因為商業銀行資金充足具備償還能力，且其經營注重聲譽風險等特點，最終選擇由商業銀行承擔損失。在第三方支付業務領域，商業銀行面臨監管機構的嚴格要求和激烈的市場競爭，應當從外部合作、內部規范、符合監管需求等各方面加強完善，防范第三方支付業務中面臨的法律風險。

謹慎選擇合作第三方支付機構，完善雙方合作協議。雖然人民銀行出臺《非金融機構支付服務管理辦法》對第三方支付機構進行金融監管，并對其進行發放經營牌照，事實準入制度，但是因為互聯網金融業務的繁榮發展，第三方支付機構中魚龍混雜，由許多資質不佳的機構在市場中實施違法行為，通過與銀行的業務合作，盜取銀行的客戶信息實施侵權行為，給合作銀行造成了大量的資金損失，因此商業銀行商業銀行在與第三方支付機構合作過程中，一是須關注第三方支付機構的主體是否合法，是否符合現有規章制度，確保第三方支付機構主體資格合法合規;二是注意審核該機構《支付業務許可證》上已核準的業務范圍，避免超范圍合作;另外，還應動態關注該機構的經營狀況，發現有超范圍經營、業務外包、轉讓、出租、出借許可證行為的，應及時中止或終止業務合作。

商業銀行應該根據新形勢不斷完善與第三方支付機構的合作協議，商業銀行與支付機構簽訂業務合作協議時，應就非商業銀行直接進行客戶身份認證的批量扣款或電子支付，與支付機構就賠付問題達成一致。商業銀行應在協議中明確約定由支付機構自行完成客戶身份認證的資金支付，應有支付機構就客戶資金被盜等風險事件承擔先行賠付責任，并就此指定詳細的操作流程，確保可行性及操作性。

嚴格做好客戶信息安全與保密工作。商業銀行與第三方支付機構合作開展各項業務，對涉及到的客戶金融信息管理，應嚴格遵循有關法律法規和監管制度的規定，嚴格遵照客戶意愿和指令進行支付，不得違法違規泄露。一是在客戶身份認證方面商業銀行賬戶與第三方支付機構首次建立業務關聯時，應經雙重認證，即客戶在通過第三方支付機構認證同時，還須通過商業銀行的客戶身份鑒別。二是商業銀行應構建安全的網絡通道（如專線連接、VPN通道等），指定安全邊界（如部署防火墻、DMZ隔離區等），防止第三方支付機構越界訪問，確保客戶信息安全。

加強內部制度管理，保障交易資金安全。一是商業銀行應對客戶的技術風險承受能力進行評估，客戶與第三方支付機構相關的賬戶關聯、業務類型、交易限額等決策要求應與其技術風險承受能力相匹配;二是將與第三方支付機構的合作業務納入全行業務運營風險監測系統的監控范圍，對其中的商戶和客戶在本行的賬戶資金活動情況進行實時監控，達到風險標準的應組織核查。特別是對其中大額、異常的資金收付應做到逐筆監測、認真核查、及時預警、及時控制;三是商業銀行應通過電子渠道驗證和辨別客戶身份，應采用雙（多）因素驗證方式對客戶身份進行鑒別，對不具備雙（多）因素認證條件的客戶，其任何賬戶不得與第三方支付機構建立業務關聯;四是商業銀行對賬戶與第三方支付機構建立業務關聯的客戶，應開通至少一種賬戶變動即時通知技術方式，并通過柜員介紹、短信提示、網站提醒、官方微博或微信提醒等多種渠道對客戶使用第三方支付相關的商業銀行產品或服務進行防欺詐知識宣傳，使客戶了解相關的基本常識以及常見的詐騙手段，引導客戶提高風險防范意識。

建立聯動風險防控機制。商業銀行在加強自身體系防御和對第三方支付機構的監測基礎上，加強與第三方支付機構和保險機構合作，尋求建立完備的風險防控體系和損失補償制度。一是建立有效的風險信息溝通渠道。商業銀行與第三方支付機構可以通過與客戶簽署三方協議的方式，在客戶授權基礎上及時分享最新的風險事件，識別外部欺詐手段，針對性的建立風險防控措施。二是探索成立風險事件披露平臺。通過銀行渠道、支付機構渠道及時向客戶披露網絡支付中的風險事件，提示客戶防范外部欺詐。三是在信息共享的基礎上建立風險防控模型。依托大數據技術，建立完善風險識別模型，準時和及時發現交易信息中的異常數據，為明確風險防控重點和指定針對性的風險防控措施提供支持。四是積極探索建立第三方支付損失保險制度。商業銀行應該積極與保險公司合作，探索建立針對因外部欺詐等無法預測的風險導致的客戶資金損失保障制度，當客戶因外部欺詐或其他非本人原因導致賬戶資金被盜時，通過賬戶保險制度，積極對客戶予以賠償，以及時妥善解決客戶資金損失產生的投訴等問題，有效防控矛盾升級導致的聲譽風險。

（作者單位：中國工商銀行法律事務部）